Husk jeg og hjemme hvordan detaljer om betalinger til fordel for trafikkpolitiet og FSSP for nettstedbrukere ble offentlig tilgjengelig paymentgibdd.rf, paygibdd.ru, gos-oplata.ru, fines.net и oplata-fssp.ru?
Bare ikke le, dette er ikke en spøk i det hele tatt - den samme serveren med data fra det samme systemet viste seg igjen å være åpen for hele verden.
Vel, la oss finne ut...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Først, la meg minne deg litt om kronologien til hendelsene:
- 12.04.2019. april XNUMX (om natten) ble det oppdaget en Elasticsearch-server som ikke krevde autentisering for å koble til.
- Den 13.04.2019 (morgen) ble det sendt et varsel til servereierne.
- 13.04.2019. april XNUMX (på ettermiddagen) ble serveren "stille" fjernet fra offentlig tilgang.
På tidspunktet for den første serveravslutningen så Elasticsearch-indeksene slik ut:
Og nå den 21.05.2019/16/00 ca kl. XNUMX:XNUMX (Moskva-tid), vises den samme Elasticsearch-serveren, med de samme (pluss nye) indeksene igjen i det offentlige domene:
Jeg kunne ikke tro mine egne øyne da jeg så den (umiddelbart etter forestillingen kl PH-dager om temaet oppdagelse av åpne databaser) i e-postvarslingen fra vår . For å være ærlig var min første tanke at dette var en slags systemfeil.
Men nei, det var ikke en feil, og etter å ha sjekket alt manuelt, klokken 01:25 den 22.05.2019. mai XNUMX, sendte jeg igjen et varsel til de samme adressene som første gang.
Siden den første stengingen ble denne serveren skannet av Shodan 11 ganger og frem til 21. mai var Elasticsearch stengt på den.
Først om morgenen 24.05.2019. mai XNUMX forsvant denne Elasticsearch fra offentligheten for andre gang. I løpet av denne tiden har indeksene vokst betydelig:
Og hvis du ser på dataene (bare viktig informasjon som inneholder personopplysninger om borgere) i indeksene for perioden 1. mai til 22. mai, så er bildet som følger:
- 127,525 XNUMX oppføringer i indeksen paygibdd
- 49,627 XNUMX oppføringer i indeksen shtrafov-nett
- 162,282 XNUMX oppføringer i indeksen oplata-fssp
- 220,201 XNUMX oppføringer i indeksen gosoplata
Eksempeldata fra indeks gosoplata:
Eksempeldata fra indeks paygibdd:
Vel, prikken over i-en var et brev fra en av adressene jeg sendte varsler til:
Vi mottok brevet ditt om det åpne ElasticSearch - takk for informasjonen, databasen ble stengt. Systemadministratoren som gjenåpnet tilgangen har fått sparken. Den juridiske tjenesten forbereder seg også på å sende til republikken Tatarstans innenriksdepartement en erklæring om tegn på tilstedeværelse i handlingene til systemadministratoren av elementer i henhold til artiklene 272 og 273 i den russiske føderasjonens straffelov.
Nyheter om informasjonslekkasjer og innsidere kan alltid finnes på min Telegram-kanal "' .
Kilde: www.habr.com